クラウドフレア社
問題は
これらのポイント ルートは、別のプロバイダーを介して接続していたクライアントの 396531 つ (Allegheny Technologies、AS701) に通知されました。 Allegheny Technologies は、結果のルートを別の交通プロバイダー (Verizon、AS20) にブロードキャストします。 BGP アナウンスの適切なフィルタリングの欠如とプレフィックス数の制限のため、Verizon はこのアナウンスを拾い、結果として得られた XNUMX プレフィックスをインターネットの残りの部分にブロードキャストしました。 特定のルートの優先順位が一般的なルートよりも高いため、不正なプレフィックスはその粒度により優先順位が高いと認識されていました。
その結果、多くの大規模ネットワークのトラフィックが Verizon 経由で小規模プロバイダー DQE Communications にルーティングされるようになりましたが、DQE Communications は急増するトラフィックを処理できず、崩壊につながりました (その効果は、交通量の多い高速道路の一部を新しいプロバイダーに置き換えることに匹敵します)。田舎道)。
今後同様の事件が起こらないようにするために
- 使用する
検証 RPKI に基づくアナウンス (BGP オリジン検証、ネットワーク所有者からのみアナウンスを受け入れることができます)。 - すべての EBGP セッションで受信されるプレフィックスの最大数を制限します (最大プレフィックス設定は、20 つのセッション内で XNUMX のプレフィックスの送信を即座に破棄するのに役立ちます)。
- IRR レジストリ (インターネット ルーティング レジストリ。指定されたプレフィックスのルーティングが許可される AS を決定します) に基づいてフィルタリングを適用します。
- ルーターでは RFC 8212 で推奨されているデフォルトのブロック設定 (「デフォルト拒否」) を使用します。
- BGP オプティマイザーの無謀な使用をやめてください。
出所: オープンネット.ru